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Verfahren zur Bereitstellung von Software zur Verwendung durch ein 

Steuergerat eines Fahrzeugs 

Beschreibung 

Die Erfindung betrifft insbesondere ein Verfahren zur Bereitstellung von Software zur 
Venwendung durch ein Steuergerat eines Fahrzeugs, wie insbesondere ein 
Kraftfahrzeug oder Motorrad, nach dem Oberbegriff des Anspruchs 1 . 

Steuergerate fur Kraftfahrzeuge weisen ublicherweise eine durch Software 
gesteuerte Ablaufsteuerung auf, die nach der Herstellung des Steuergerats beim 
Hersteller des Steuergerats oder beim Fahrzeughersteller nach der Montage des 
Steuergerats in diesem gespeichert wird. 

Nachteilig ist, dass die Software in schadigender Weise, ausgetauscht oder 
abgeandert werden kann. 

Die Aufgabe der Erfindung besteht in der Verbesserung der Software/Hardware- 
Kombination, wie insbesondere eines Kraftfahrzeugs oder Personenkraftwagens. 

Diese Aufgabe wird durch die in den unabhangigen Patentanspruchen angegebenen 
Malinahmen jeweils gelost. Vorteilhafte Ausgestaltungen der Erfindung sind in den 
abhangigen Patentanspruchen angegeben. 

Ein wichtiger Aspekt der Erfindung besteht darin, unter VenA/endung des Public-Key- 
Verfahrens, eine zur Venrt/endung durch ein Steuergerat eines Fahrzeugs 
vorgesehene Software, wie insbesondere ein Kraftfahrzeug oder Motorrad, unter 
Verwendung des geheimen bzw. privaten Schlussels einer Software-Signaturstelle 
gegen Verfalschung zu signieren. Das Public-Key-Verfahren zeichnet sich 
insbesondere dadurch aus, dass es von einem besonderen Schlussel-Paar 
Gebrauch macht, namlich einem geheimen, privaten Schlussel und einem zu diesem 
komplementaren offentlichen Schliissel. 



Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, ein Software-Signatur-Zertifikat unter Verwendung des offentlichen 
Schlussels der Software-Signaturstelle und des geheimen Schlussels einer 
Kontrollinstanz, eines sogenannten Trust-Centers, im Rahman eines Public-Key- 
Verfahrens, zu erzeugen. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, ein Kontrollinstanz-Zertifikat bzw. Trust-Center-Zertifikat unter 
Venwendung des geheimen Schlussels der Kontrollinstanz zu erzeugen. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, Freischaltcode-Daten unter Verwendung des geheimen Schlussels 
einer Freischaltcode-Stelle im Rahmen eines Public-Key-Verfahrens zu signieren. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, ein Freischaltcodestelle-Signatur-Zertifikat unter Verwendung des 
geheimen Schlussels der Kontrollinstanz, des Trust-Centers, im Rahmen eines 
Public-Key-Verfahrens, zu erzeugen. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, das Trust-Center-Zertifikat in einer gegen Verfalschung und/oder 
Austausch geschutzten Weise, wie in einem geschutzten Speicher, Speicherbereich 
Oder dgl., in dem Steuergerat zu speichern. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, das Freischaltcodestelle-Signatur-Zertifikat, das Software-Signatur- 
Zertifikat, die Freischaltcode-Daten und deren Signatur sowie die Software und deren 
Signatur in dem Steuergerat zu speichern. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass das Software-Signatur-Zertifikat eine oder mehrere 
Gultigkeitsbeschrankungen, wie insbesondere eine Beschrankung auf einen oder 
mehrere Steuergeratetypen, aufweist. 



Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass das Freischaltcodestelle-Signatur-Zertifikat eine oder mehrere 
Gultigkeitsbeschrankungen aufweist, wie insbesondere eine Beschrankung auf ein 
bestimmtes Steuergerat, das beispielsweise anhand einer in diesem unveranderlich 
gespeicherten Numnner, Kennung oder dgl. individualisiert ist, oder die 
Fahrgestellnummer eines Fahrzeugs. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass das Software-Signatur-Zertifikat inn Rahmen eines Public-Key- 
Verfahrens unter Verwendung des offentlichen Schlussels des Trust-Centers auf 
Unverfalschtheit uberpruft wird. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass die signierte Software im Rahmen eines Public-Key-Verfahrens 
unter Verwendung des im Software-Signatur-Zertifikat enthaltenen offentlichen 
Schlussels der Softwaresignatur-Stelle auf Unverfalschtheit uberpruft wird. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass das Freischaltcodestelle-Signatur-Zertifikat im Rahmen eines 
Public-Key-Verfahrens unter Verwendung des offentlichen Schlussels des Trust- 
Centers auf Unverfalschtheit uberpruft wird. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass die signierten Freischaltcode-Daten im Rahmen eines Public-Key- 
Verfahrens unter Verwendung des im Freischaltcodestelle-Signatur-Zertifikats 
enthaltenen offentlichen Schlussels der Freischaltcodestelle auf Unverfalschtheit 
uberpruft werden. 

Alternativ oder erganzend ist bei einer weiteren Ausfuhrungsform der Erfindung 
vorgesehen, dass das Steuergerat mit einem ablaufgesteuerten Mikroprozessor 
versehen ist, der eines der vorstehend beschriebenen Verfahren unter Verwendung 
des Public-Key-Verfahrens ausfuhrt. 



Die Erfindung wind nachfolgend anhand einer Zeichnung naher eriautert, wobei 
gleiche Bezugszeichen gleiche oder gleichwirkende Malinahmen angeben. Es zeigt: 

Fig. 1 eine graphische Veranschaulichung eines erfindungsgemalien Verfahrens 
zur Bereitstellung von Software zum Betrieb eines Steuergerats in einem 
Fahrzeug, wie insbesondere ein Kraftfahrzeug oder Motorrad. 

Bei dem in Figur 1 dargestellten Ablaufschema 100, das von dem bekannten Public- 
Key-Verfahren Gebrauch nnacht, wird ein Programm-Code zur Ablaufsteuerung 
eines Steuergerats 115, d.h. eine Steuergerat-Software 113, an eine sogenannte 
Software-Signaturstelle 105 zum Zwecke seiner Signatur ubermittelt. Bei dem 
Steuergerat 115 handelt es sich um eine programmgesteuerte 

Datenverarbeitungseinrichtung, die bevorzugt einen programmierbaren Speicher und 
einen Mikroprozessor aufweist. Anhand der Signatur kann erkannt werden, ob der 
Programm-Code nach der Signatur verandert bzw. manipuliert worden ist. Wie dies 
geschieht, wird im Folgenden naher eriautert. 

Unter einem Steuergerat soli insbesondere sowohl ein herkommliches Steuergerat in 
einem Fahrzeug zum Steuern und/oder Regein von Aktuatoren als auch die sonstige 
programmgesteuerte Ausstattung eines Fahrzeugs verstanden werden, wie 
beispielsweise ein Kommunikations-System, ein Audio-System oder ein Navigations- 
System. Obwohl derzeit eine Vielzahl von Steuergeraten fur unterschiedliche 
^Funktionen bzw. Aktuatoren in Fahrzeugen vorgesehen sind, kann es sich bei einem 
erfindungsgemaBen Steuergerat auch um ein oder mehrere programmgesteuerte 
Datenverarbeitungseinrichtungen handein, die die Steuer- und/oder Regelaufgaben 
von mehr als einem Steuergerat iibernehmen. 

Die Software-Signaturstelle 105 fordert bei einem sogenannten Trust-Center 101 des 
Fahrzeugherstellers, fur dessen Fahrzeug das Steuergerat 115 bestimmt bzw, in 
dessen Fahrzeug es eingebaut ist oder werden soli, ein Software-Signatur-Zertifikat 
120 an. Bei der Software-Signaturstelle 105 handelt es sich bevorzugt um den 
Hersteller der Software 113, wobei dies bevorzugt auch der Hersteller des 
Steuergerats 115 ist. 



Unter Verwendung seines nicht-offentlichen, privaten Schlussels 103 sowie des 
offentlichen Schlussels 108 der Software-Signatursteile 103 erzeugt das Trust-Center 
101 das Software-Signatur-Zertifkat 120. Dieses weist insbesondere den offentlichen 
Schlussel 108 der Software-Signatursteile 105, bevorzugt ein oder mehrere 
Gultigkeitsbeschrankungen, die nicht explizit dargestellt sind, und eine von dem 
Trust-Center 101 erzeugte Signatur 121 auf. Die Signatur ermoglicht die 
Uberprufung, ob das Zertifikat nach seiner „Unterzeichnung" bzw. Signatur verandert 
Oder manipuliert worden ist. 

Bei einer von dem Steuergerat 115 auf ihre Erfulltheit hin uberpruften 
Gultigkeitsbeschrankung im Software-Signatur-Zertifikat 120, kann es sich 
insbesondere urn eine Beschrankung betreffend eine Betriebsstundenzahl, eine 
Lauf- bzw. Kilometer-Leistung, eine ortlich begrenzte Gultigkeit (in Bezug auf den 
Aufenthaltsort des Fahrzeugs), eine Zeitangabe oder Zeitdauer, ein oder nnehrere 
Fahrzeugtypen, ein oder mehrere Steuergerate oder Steuergeratetypen, eine 
Fahrgestellnummer oder eine Steuergeratenummer handeln. Bevorzugt weist das 
Software-Signatur-Zertifikat eine Beschrankung der Verwendbarkeit der Software auf 
ein Oder mehrere Steuergeratetypen auf. Eine weitere Beschrankung kann darin 
bestehen, dass der Hersteller einer Software diese nur dann in ein Steuergerat 
einschreiben bzw. dort speichern oder zum Ablauf bringen kann, wenn der Hersteller 
der Software auch der Hersteller des Steuergerats ist. Die Uberprufung der ein oder 
mehreren Gultigkeitsbeschrankungen erfolgt bevorzugt durch einen im Steuergerat 
115 vorgesehenen, ablaufgesteuerten Mikroprozessor (nicht dargestellt), wobei 
dessen Ablaufsteuerung bzw. Software, entsprechend gestaltet ist. 

Das Trust-Center 101 erzeugt ferner unter Venvendung seines geheimen Schlussels 
103 ein Trust-Center-Signatur-Zertifikat 116, das insbesondere dessen offentlichen 
Schlussel 101 und eine unter Verwendung des geheimen Schlussels 103 des Trust- 
Centers 101 erzeugte Signatur 117 aufweist. 

Die Software-Signatursteile 105 erzeugt unter Verwendung ihres privaten bzw. 
geheimen Schlussels 109 und der Software 113 eine Signatur 114, anhand dervom 
Steuergerat. wie insbesondere durch einen programmgesteuerten Mikroprozessor, 



uberpruft werden kann, ob die Software 113 nach deren Signierung mit der Signatur 
114 verandert worden ist. 

Die Zertifikate 116 und 120 sowie die Software 1 13 und deren Signatur 1 14 werden 
In das Steuergerat 1 1 5 ubertragen und dort gespeichert. Die Speicherung des Trust- 
Center-Signatur-Zertifikats 116 erfolgt in einem geschutzten Speicher oder 
Speicherbereich 122, der verhindert, dass das Trust-Center-Signatur-Zertifikat 116 
verandert und/oder ausgetauscht werden kann. 

Wenn der Hersteller der Software und der Hersteller des Steuergerats Identlsch sind, 
geschieht dies ganz oder teilweise bevorzugt durch den Hersteller vor der 
Auslieferung des Steuergerats an den Fahrzeughersteller. 

Zur Aktualisierung der Im Steuergerat gespeicherten Software oder zur Bereitstellung 
von zusatzlicher oder alternativer Software im Steuergerat 115 konnen 
erfindungsgemaU mehrere Wege zum Einbringen der Software in das Fahrzeug 
verwendet werden. Dies kann beispielsweise bei einem Werkstattbesuch, z.B. iiber 
einen Diagnosestecker oder ein Kommunikations-lnterface des Fahrzeugs, oder 
auch von einem an den Fahrzeugbesitzer ausgehandigten Datentrager, wie eine CD- 
ROM, DVD Oder Chipkarte, erfolgen. Die Software wird dann ggf. uber ein im 
Kraftfahrzeug vorgesehenes Lesegerat fiir den betreffenden Datentrager eingespielt. 

Bevor das Steuergerat 115 die an das Steuergerat 115 ubertragene Software 113, 
ausfuhrt, pruft das Steuergerat 115 in einem ersten Schritt auf der Basis des Public- 
Key- Verfahrens unter Venwendung des Software-Signatur-Zertifikats 120, das den 
offentlichen Schlussel 108 der Software-Signatur-Stelle 105 und die Signatur 121 
des Trust-Centers 101 aufweist, und unter Verwendung des im geschutzten Speicher 
Oder Speicherbereich 122 gespeicherten offentlichen Schlussels 102 des Trust- 
Centers 101, ob das Software-Signatur-Zertifikat 120 verandert bzw. manipuliert 
worden ist. 

Falls dies nicht der Fall ist, pruft das Steuergerat in einem zweiten Schritt auf der 
Basis des Public-Key-Verfahrens unter Verwendung des offentlichen Schlussels 108 
der Software-Signatur-Stelle 105, der im ersten Schritt unter Verwendung des 



offentlichen Schtussels 102 des Trust-Centers 101 auf seine Unverandertheit hin 
uberpruft worden ist, sowie unter Verwendung der Software 113 und der Signatur 
1 14, ob die Software 113 verandert bzw. manipuliert worden ist. 

Die positiv verlaufende Prufung im ersten und zweiten Schritt, vorzugsweise von 
einem Prozessor (nicht dargestellt) des Steuergerats, ist bei dem hier nachfolgend 
beschriebenen Ausfuhrungsbeispiel eine erste notwendige jedoch nicht hinreichende 
Voraussetzung, damit die Software 113 von dem Steuergerat 115 ausgefuhrt werden 
kann. 

Bevorzugt wird beispielsweise von dem Steuergerat 115 bzw. einem in diesem 
vorgesehenen ablaufgesteuerten Mikroprozessor (nicht dargestellt) zudem uberpruft, 
ob eine oder mehrere bevorzugt im Software-Signatur-Zertifikat 120 von dem Trust- 
Center 101 hinterlegte Gultigkeitsbeschrankungen bzw. Gultigkeitsvoraussetzungen, 
wie insbesondere eine Betriebsstunden-Beschrankung der Verwendbarkeit des 
Zertifikats 120, erfullt sind. Ggf. bildet die Erfulltheit der Gultigkeitsbeschrankungen 
bzw. Gultigkeitsvoraussetzungen eine weitere Voraussetzung, damit die Software 
113 von dem Steuergerat 115 ausgefuhrt werden kann. 

Bei einem anderen Ausfuhrungsbeispiel, auf das nicht welter eingegangen wird, 
handelt es sich hierbei um die alieinigen bzw. hinreichenden Voraussetzungen fur die 
Ausfuhrung der Software durch das Steuergerat. 

Falls nicht bereits im Steuergerat 115 oder im Fahrzeug gespeichert, wird die 
signierte Software, die die Steuergerat-Software 113 und die Software-Signatur 114 
aufweist, und das mit dem offentlichen Schlussel 108 versehene Software-Signatur- 
Zertifikat 120, ggf. mit weiterer Software, dem Besitzer eines Fahrzeugs auf einem 
Datentrager (nicht dargestellt), wie eine CD-ROM oder DVD, zur Verfugung gestellt. 
Auf dessen Dateninhalt kann beispielsweise uber eine entsprechende 
Datenverarbeitungseinrichtung (nicht dargestellt), die mit mindestens einem 
Steuergerat eines Kraftfahrzeugs in Verbindung steht, zugegriffen werden. 

Im Folgenden wird angenommen, dass der Benutzer von der durch eine auf dem 
Datentrager verfugbaren Software bzw. von der dadurch gebotenen Zusatz- 
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Funktionalitat Gebrauch machen und die Software dementsprechend in ein oder 
mehrere Steuergerate laden und dort ablaufen lassen mochte. 

Bei denn hier behandelten, bevorzugten Ausfuhrungsbeispiel sind zu den 
vorgenannten Schritten zusatzliche Schritte erforderlich bzw. Voraussetzungen zu 
erfullen. Inn hier geschilderten Ausfuhrungsbeispiel nimmt der Besitzer des 
Fahrzeugs telefonisch oder per Internet aus dem Fahrzeug heraus Kontakt nnit einer 
sogenannten Freischalt-Code-Stelle 104 auf. Nachdem die Zahlungsmodalitaten 
geklart worden sind, wahit der Besitzer die betreffende freizuschaltende Software 
aus, ubermittelt die Fahrgestellnummer und/oder eine das betreffende Steuergerat 
kennzeichnende Nummer oder dgl. (wobei dies auch elektronisch durch Auslesen 
und Ubermittlung aus den betreffenden ein oder mehreren Steuergeraten geschehen 
kann) und gibt im Falle einer zeitabhangigen Nutzungsgebuhr fur die Software an, fur 
welchen Zeitraum er die Nutzung der Software wunscht. Auf der Basis dieser 
Nutzungs-Angaben, die mit dem Bezugszeichen 110 bezeichnet sind, werden 
sogenannte Freischait-Code-Daten 1 1 1 generiert. 

Die Freischalt-Code-Stelle 104 fordert von dem Trust-Center 101 ein sogenanntes 
Freischaltcodestelle-Signatur-Zertifikat 118 an. Unter Verwendung des offentlichen 
Schlussels 106 der Freischalt-Code-Stelle 104 und dem geheimen Schlussel 103 des 
Trust-Centers 101 erzeugt das Trust-Center 101 das Freischaltcodestelle-Signatur- 
Zertifikat 118 auf der Basis des Public-Key- Verfahrens. 

Ferner kann vorgesehen sein, dass die Software 113, die Signatur 1 14 und/oder eine 
hieraus abgeleitete Information oder Softwarenummer oder dgl. bei der Freischalt- 
Code-Stelle 104 hinterlegt ist und/oder ganz oder teilweise in das 
Freischaltcodestelle-Signatur-Zertifikat 118 eingeht. Das Freischaltcodestelle- 
Signatur-Zertifikat 118 weist insbesondere den offentlichen Schlussel 106 der 
Freischalt-Code-Stelle 104 und die vom Trust-Center 101 erzeugte Signatur 119 auf, 
anhand der uberpruft werden kann, ob das Zertifikat 118 nach seiner 
„Unterzeichnung" bzw. Signatur verandert oder manipuliert worden ist. 



Bevorzugt weist das von dem Trust-Center 101 erzeugte Freischaltcodestelle- 
Signatur-Zertifikat 118 zudem ein oder mehrere Gultigkeitsbeschrankungen auf, die 
nicht explizit dargestellt sind. 

Bei einer von dem Steuergerat 115 auf ihre Erfulltheit hin uberpruften 
Gultigkeitsbeschrankung inn Freischaltcodestelle-Signatur-Zertifikat 118. kann es sich 
insbesondere urn eine Beschrankung betreffend eine Betriebsistundenzahl, eine 
Lauf- bzw. Kilometer-Leistung, eine ortlich begrenzte Gultigkeit (in Bezug auf den 
Aufenthaltsort des Fahrzeugs), eine Zeitangabe oder Zeitdauer, ein oder mehrere 
Fahrzeugtypen, ein oder mehrere Steuergerate oder Steuergeratetypen oder eine 
Fahrgestellnummer oder eine Steuergeratenummer handeln. Bevorzugt weist das 
Freischaltcodesteile-Signatur-Zertifikat eine Beschrankung der Verwendbarkeit auf 
eine bestimmte, das Steuergerat individualisierende Steuergeratenummer oder eine 
Fahrgestellnummer auf. Die Uberprufung der ein oder mehreren 
Gultigkeitsbeschrankungen bzw. Gultigkeitsvoraussetzungen erfolgt bevorzugt durch 
einen im Steuergerat 115 vorgesehenen, ablaufgesteuerten Mikroprozessor (nicht 
dargestellt), wobei dessen Ablaufsteuerung bzw. Software, entsprechend gestaltet 
ist. 

Ein bevorzugter Freischalt-Code weist die folgenden ganz oder teilweise von dem 
Steuergerat 115 uberpruften und mit Referenzangaben verglichenen 
Informationsgruppen ganz oder teilweise auf: Software-ldentifikation, 
Fahrgestellnummer und/oder Steuergeratenummer, Gultigkeitsbeschrankung, wie 
insbesondere eine absolute Zeitangabe, eine Betriebsstundenzahl, Identifikation des 
Nachfragers nach dem Freischaltcode, z.B. ein Fahrzeug-Handler oder ein 
Fahrzeugbesitzer, Identifikation der den Freischaltcode erzeugenden Freischaltcode- 
Stelle, Datum der Erzeugung und Signatur. 

Beispielsweise kann die Beschrankung auch darin bestehen, dass die Freischalt- 
Code-Stelle Software und/oder Daten zur Verwendung durch ein im Fahrzeug 
vorgesehenes Navigationssystem, wie insbesondere Kartendaten oder dgl., nicht 
aber Software oder Daten zur Anderung der Motorsteuerung und/oder zur 
Ablaufsteuerung (besonders) sicherheitsrelevanter Steuergerate freigeben kann. 
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Das von dem Trust-Center 101 erzeugte Freischaltcodestelle-Signatur-Zertifikat 118 
und die Freischaltcode-Daten 111 sowie deren Signatur 112 werden in das Fahrzeug 
(nicht dargestellt) und nachfolgend in das betreffende Steuergerat 115 ubertragen 
und dort gespeichert. Die Ubertragung erfolgt bevorzugt drahtlos, wie insbesondere 
uber ein Mobilfunknetz und/oder eine Internet-Verbindung. 

Bevor das Steuergerat 1 15 die an das Steuergerat 115 ubertragene Software 113 
ausfuhrt, priift das Steuergerat 1 15 in einem dritten Schritt auf der Basis des Public- 
Key-Verfahrens unter Venwendung des Freischaltcodestelle-Signatur-Zertifikats 118, 
das den offentlichen Schlussel 106 der Freischaltcode-Steile 104 und die Signatur 
119 des Trust-Centers 101 aufweist, und unter Verwendung des im geschutzten 
Speicher oder Speiclierbereich 122 gespeicherten offentlichen Schlussels 102 des 
Trust-Centers 101, ob das Freischaltcodestelle-Signatur-Zertifikat 118 verSndert bzw. 
manipuliert worden 1st. 

Falls dies nicht der Fall ist, pruft das Steuergerat 1 15 in einem vierten Schritt auf der 
Basis des Public-Key-Verfahrens unter Venwendung des offentlichen Schlussels 106 
der Freischaltcodestelle-Stelle 104, der im dritten Schritt unter Venwendung des 
offentlichen Schlussels 102 des Trust-Centers 101 auf seine Unverandertheit hin 
Qberpruft worden ist, sowie unter Verwendung der Freischaltcode-Daten 1 1 1 und 
deren Signatur 112, ob die Freischaltcode-Daten 111 verandert bzw. manipuliert 
worden ist. 

Bevorzugt wird beispielsweise von dem Steuergerat 1 1 5 bzw. einem in diesem 
vorgesehenen ablaufgesteuerten Mikroprozessor (nicht dargestellt) in einem funften 
Schritt zudem Qberpruft, ob eine oder mehrere bevorzugt im Freischaltcodestelle- 
Signatur-Zertifikat 118 von dem Trust-Center 101 hinterlegte 
Giiltigkeitsbeschrankungen bzw. GQItigkeitsvoraussetzungen erfullt sind. 
Anderenfalls wird die Freigabe der Software oder deren Ablauf blockiert, wie 
insbesondere durch den Mikroprozessor. 

Die positiv verlaufende Prufung im dritten und vierten Schritt sowie ggf. die positive 
Prufung im funften Schritt, vorzugsweise von einem Prozessor (nicht dargestellt) des 
Steuergerats, ist bei der beschriebenen, bevorzugten Ausfuhrungsform der Erfindung 
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die hinreichende Voraussetzung, damit die Software 113 von dem Steuergerat 115 
ausgefuhrt werden kann. 



Verfahren zur Bereitstellung von Software zur Verwendung durch ein 

Steuergerat eines Fahrzeugs 

Patentanspriiche 

Verfahren zur Bereitstellung von Software zur Verwendung. durch ein 
Steuergerat eines Fahrzeugs, wie insbesondere ein Kraftfahrzeug oder 
Motorrad, dadurch gekennzeichnet, dass 

- die Software vor ihrer VenA/endung durch das Steuergerat unter Verwendung 
des geheimen bzw. privaten Schlussels einer Software-Signaturstelle im 
Rahmen eines Public-Key-Verfahrens gegen Verfalschung signiert wird, und 

- die signierte Software unter Verwendung des zu dem geheimen Schlussel der 
Software-Signaturstelle komplementaren Qffentlichen Schlussels auf ihre 
Unverfalschtheit hin uberpruft wird. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet dass ein Software- 
Signatur-Zertifikat unter VenA/endung des offentlichen Schlussels der Software- 
Signaturstelle und des geheimen Schlussels einer Kontrollinstanz, eines 
sogenannten Trust-Centers, im Rahmen eines Public-Key-Verfahrens, erzeugt 
wird, 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass ein 
Kontrollinstanz-Zertifikat bzw. Trust-Center-Zertifikat, im Rahmen eines Public- 
Key-Verfahrens, unter Venwendung des geheimen Schlussels der 
Kontrollinstanz erzeugt wird. 

Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, dass 
Freischaltcode-Daten unter Venwendung des geheimen Schlussels einer 
Freischaltcode-Stelle, im Rahmen eines Public-Key-Verfahrens, signiert 
werden. 

Verfahren nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, dass 
ein Freischaltcodestelle-Signatur-Zertifikat unter Verwendung des geheimen 



Schlussels der Kontrollinstanz, des Trust-Centers, im Rahman eines Public- 
Key- Verfahrens, erzeugt wird. 

6. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das Trust-Center- 
Zertifikat in einer gegen Verfaischung und/oder Austausch geschutzten Weise, 
wie in einem geschutzten Speicher, Speicherbereich oder dgl., gespeichert wird, 
wie insbesondere in dem Steuergerat. 

7. Verfahren nach einem der AnsprQche 1 bis 6, dadurch gekennzeichnet, dass 
das Freischaltcodestelle-Signatur-Zertifikat, das Software-Signatur-Zertifikat, die 
Freischaltcode-Daten und deren Signatur sowie die Software und deren 
Signatur in dem Steuergerat gespeichert werden. 

8. Verfahren nach einem der Anspruche 2 oder 7. dadurch gekennzeichnet, dass 
das Software-Signatur-Zertifikat mit einer oder mehreren 
Guitigkeitsbeschrankungen, wie Insbesondere eine Beschr^nkung auf einen 
Oder mehrere Steuergeratetypen, versehen worden ist. 

9. Verfahren nach einem der Anspruche 5 oder 7, dadurch gekennzeichnet, dass 
das Freischaltcodestelle-Signatur-Zertifikat eine oder mehrere 
Guitigkeitsbeschrankungen aufwelst, wie insbesondere eine Beschrankung auf 
ein bestimmtes Steuergerat, das beispielsweise anhand einer in diesem 
unveranderlich gespeicherten Nummer, Kennung oder dgl. individualisiert ist, 
Oder eine Beschrankung auf die Fahrgestellnummer eines bestimmten 
Fahrzeugs. 

10. Verfahren nach einem der Anspruche 2 oder 8, dadurch gekennzeichnet, dass 
das Software-Signatur-Zertifikat im Rahmen eines Public-Key-Verfahrens unter 
Venwendung des offentlichen Schlussels des Trust-Centers auf Unverfaischtheit 
uberpruft wird. 



11. 



Verfahren nach einem der Anspruche 1 bis 10, dadurch gekennzeichnet, dass 
die signierte Software im Rahmen eines Public-Key-Verfahrens unter 



Verwendung des im Software-Signatur-Zertifikat enthaltenen offentlichen 
Schlussels der Softwaresignatur-Stelle auf Unverfalschtheit uberpruft wird. 

12. Verfahren nach einem der Anspruche 5, 7 oder 9, dadurch gekennzeichnet, 
dass das Freischaltcodestelle-Signatur-Zertifikat im Rahmen eines Public-Key- 
Verfahrens unter Verwendung des offentlichen Schlussels des Trust-Centers 
auf Unverfalschtheit uberpruft wird. 

13. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die signierten 
Freischaltcode-Daten im Rahmen eines Public-Key-Verfahrens unter 
Verwendung des im Freischaitcodestelle-Signatur-Zertifikats enthaltenen 
offentlichen Schlussels der Freischaltcodestelle auf Unverfalschtheit uberpruft 
werden. 

14. Verfahren nach einem der Anspruche 1 bis 13, dadurch gekennzeichnet, dass 
das Steuergerat mit einem ablaufgesteuerten Mikroprozessor versehen ist, der 
eines der vorstehend beschriebenen Verfahren ausfuhrt. 

15. Steuergerat, insbesondere fur ein Kraftfahrzeug oder Motorrad, dadurch 
gekennzeichnet, dass das Steuergerat ein Verfahren nach einem oder 
mehreren der vorstehenden Anspruche ausfuhrt. 

16. Datenverarbeitungssystem, insbesondere fur ein Kraftfahrzeug oder Motorrad, 
dadurch gekennzeichnet, dass das Datenverarbeitungssystem ein Verfahren 
nach einem oder mehreren der vorstehenden Anspruche ausfuhrt. 

17. Computer-Programm-Produkt, insbesondere zur Ablaufsteuerung eines 
Steuergerats oder eines Datenverarbeitungssystems eines Kraftfahrzeugs oder 
Motorrads, dadurch gekennzeichnet, dass das Computer-Programm-Produkt 
ein Verfahren nach einem oder mehreren der vorstehenden Anspruche 
ausfuhrt. 

18. Datentrager, dadurch gekennzeichnet, dass er ein Computer-Programm- 
Produkt nach Anspruch 17 aufweist. 



Verfahren zur Bereitstellung von Software zur Verwendung durch ein 

Steuergerat eines Fahrzeugs 

Zusammenfassung 

Die Erfindung betrifft insbesondere ein Verfahren zur Bereitstellung von Software zur 
Verwendung durch ein Steuergerat eines Fahrzeugs, wie insbesondere ein 
Kraftfahrzeug oder Motorrad. 

Zur Verbesserung der Software/Hardware-Kombination, wie insbesondere eines 
Kraftfahrzeugs oder Personenkraftwagens, wird vorgeschlagen, dass die Software 
vor ihrer Verwendung durch das Steuergerat unter VenA/endung des geheimen bzw. 
privaten Schlussels einer Software-Signaturstelle im Rahmen eines Public-Key- 
Verfahrens gegen Verfalschung signiert wird, und die signierte Software unter 
Verwendung des zu dem geheimen Schlussel der Software-Signaturstelle 
komplementaren offentlichen Schlussels auf ihre Unverfalschtheit hin uberpruft wird. 
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